URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID8
Нить номер: 5897
[ Назад ]

Исходное сообщение
"2 разных сайта в локальной сети"

Отправлено Sheh , 27-Июл-08 21:29 
Добрый день.

Текущая ситуация: у меня есть зарегистрированный домен "www.mydomain.ru". Это имя главного сайта нашей конторы. Физически этот сайт располагается на веб-сервере web-server.mydomain.ru в локальной сети, соответственно интернет-шлюз перенаправляет все пакеты 80 порта с внешнего ip на web-server.mydomain.ru. Т.е. когда пользователь в интернете вводит "www.mydomain.ru", он попадает на главный сайт, расположеный на компе web-server.mydomain.ru.

Описание проблемы: появился сайт как бы нашего филиала. Физически располагается тоже в локальной сети, как и головной сайт, но на другой машине - имя компа в локальной сети filial.mydomain.ru. Контора требует сделать так, чтобы при наборе в интернете адреса "www.filial.mydomain.ru", пользователь попадал на сайт филиала.

Ну допустим мы зарегистрируем у провайдера еще одно имя "www.filial.mydomain.ru". Но как я перенаправлю пакеты, если весь 80 порт итак перенаправляется шлюзом на другой комп. Какие варианты еще могут быть? Неужели только создание виртуальных серверов?


Содержание

Сообщения в этом обсуждении
"2 разных сайта в локальной сети"
Отправлено domas , 27-Июл-08 23:30 
Можно и на "шлюзе" разрулить - все зависит от того как "интернет-шлюз перенаправляет все пакеты 80 порта с внешнего ip на web-server.mydomain.ru".
А что плохого в вирт. хостах?

"2 разных сайта в локальной сети"
Отправлено Sheh , 27-Июл-08 23:36 
>Можно и на "шлюзе" разрулить - все зависит от того как "интернет-шлюз
>перенаправляет все пакеты 80 порта с внешнего ip на web-server.mydomain.ru".
>А что плохого в вирт. хостах?

Шлюз на FreeBSD. В качестве фаерволла там ipfw. А переадресация 80 порта с внешнего ip прописана в файле natd.conf. Просто интересуюсь, нет ли других возможностей, кроме как вирт. хосты. Может действительно можно на "шлюзе" разрулить, но как?


"2 разных сайта в локальной сети"
Отправлено Sheh , 28-Июл-08 15:02 
  ---

"2 разных сайта в локальной сети"
Отправлено angra , 27-Июл-08 23:59 
А чем вам виртуальные хосты помогут? Разве что еще проксирование в апаче на один из них добавить.
Проблема заключается в том, что имя хоста передается в теле одного из пакетов и не задача фаерволла/роутера его оттуда выковыривать. Самым логичным было бы получить для филиала отдельный ip адресс и разделять по адрессам на шлюзе.

"2 разных сайта в локальной сети"
Отправлено domas , 28-Июл-08 02:20 
>А чем вам виртуальные хосты помогут? Разве что еще проксирование в апаче
>на один из них добавить.

Какое проксирование? Вы о чем?

>Проблема заключается в том, что имя хоста передается в теле одного из
>пакетов

И что же за "пакеты" такие в HTTP? Нука просветите нас. (бред №1)

>и не задача фаерволла/роутера его оттуда выковыривать.

Где-то написано/рекомендовано официально? Или вы так решили?
По чему бы ему и не работать с прикладным уровнем?(судя по пред. бреду вы не в курсе существования OSI) (бред №2)

>Самым логичным было бы

не постить всякую туфту

2Sheh: самый прямой способ - вирт. хосты, они, собственно, для этого и существуют.


"2 разных сайта в локальной сети"
Отправлено angra , 28-Июл-08 06:37 
>Какое проксирование? Вы о чем?

Курите mod_proxy

>И что же за "пакеты" такие в HTTP? Нука просветите нас. (бред
>№1)

Просвещаю. В заголовке tcp пакета не содержится информации об имени хоста, там есть только ip адресс и порт. Имя хоста берется веб-сервером из одного из хедеров http протокола, с точки зрения фаервола это содержимое tcp пакетов и его обычно не трогают. Да можно заставить заглядывать и внутрь пакетов, как например делает ftp модуль в iptables, но это скорее исключение чем правило. Кстати, расскажите, что будет делать ваш гипотетический фаервол, когда обнаружит хедер host, не в первом, а во втором пакете.


>>и не задача фаерволла/роутера его оттуда выковыривать.
>Где-то написано/рекомендовано официально? Или вы так решили?

Начинайте приводить примеры фаерволов, работающих с содержимым http, в первую очередь на FreeBSD, желательно с правилами для данного случая.

>По чему бы ему и не работать с прикладным уровнем?(судя по пред.
>бреду вы не в курсе существования OSI) (бред №2)

Продолжаем просвещение. К вашему сведению стек tcp/ip не соответствует OSI, но даже если так, то роутеры редко отвечают за уровень выше пятого.


>>Самым логичным было бы
>не постить всякую туфту

Ну так не постите.

>2Sheh: самый прямой способ - вирт. хосты, они, собственно, для этого и
>существуют.

Вообще-то они существуют для разделения на _одной_ машине(а точнее на одном апаче). Автор же описал ситуацию двух апачей на двух разных машинах.


"2 разных сайта в локальной сети"
Отправлено domas , 28-Июл-08 12:25 
>>Какое проксирование? Вы о чем?
>
>Курите mod_proxy

Да, не прав, см. в конце.
Однако, чушь остается чушью.

>Просвещаю. В заголовке tcp пакета не содержится информации об имени хоста, там
>есть только ip адресс и порт.

Правду глаголите, но к чему вы это написали?
Вы лучше просветите по поводу моего вопроса, а именно: какие-такие пакеты в http? Ведь было сказано - "мя хоста передается в теле одного из пакетов".

>Начинайте приводить примеры фаерволов, работающих с содержимым http, в первую очередь на
>FreeBSD, желательно с правилами для данного случая.

Имею в виду не саму программу пакетного фильтра, а весь девайс.

>Продолжаем просвещение. К вашему сведению стек tcp/ip не соответствует OSI, но даже
>если так, то роутеры редко отвечают за уровень выше пятого.

Еще один ответ не понятно на какой вопрос! Я разве про tcp/ip говорил обратное?
http://www.adbh.co.uk/t171/images/tcp-osi.gif - Я бы сказал соответствует, просто некоторые компоненты занимают сразу несколько уровней. В любом случае, это вопрос риторический и к топику отношения не имеет...

А есть роутеры работающие на 5-ом?

Начнем теперь ваше просвещение:
На счет "выше пятого" - про, например, WCCP слыхали?
А про фильтрацию "выше пятого" - например, Cisco Content Engine.

>>>Самым логичным было бы
>>не постить всякую туфту
>
>Ну так не постите.

Ну так я этого и не делаю.

>Вообще-то они существуют для разделения на _одной_ машине(а точнее на одном апаче).
>Автор же описал ситуацию двух апачей на двух разных машинах.

Я как-то упустил, что речь о разделении на разные машины...
Тогда, да, согласен, проксирование. Я бы сделал установкой на роутер nginx.


"2 разных сайта в локальной сети"
Отправлено Sheh , 28-Июл-08 15:04 
Всем спасибо. Нашел похожую ситуацию на http://www.hub.ru/forum/index.php?showtopic=20409
Там тоже посоветовали модуль Апача mod_proxy. Наверное остановлюсь на этом варианте. Тока я вот че-то затупил - поддомен  filial.mydomain.ru у провайдера надо регистрировать, если уже зарегистрирован mydomain.ru? (че-то никак сообразить не могу)  

"2 разных сайта в локальной сети"
Отправлено angra , 28-Июл-08 18:28 
Если вам делегирована зона mydomain.ru, то нет. Но скорее всего это не так. На самом деле все просто и настраивается за 5-30 минут в зависимости от степени знакомства с системой DNS